Rootkit oder nicht AVG Anti Rootkit und Rootkit Revealer

24/10/2007 - 15:16 von Thomas Steinbach | Report spam
Hallo NG,

das AntiRootKit von AVG (Grisoft)
meldet mir folgendes:

C:/Windows/System32/Drivers/adakq7p1.SYS,Hidden driver file

Zum Vollstaendigen entfernen solle ich neu starten.
Das mache ich aber ein erneuter Scan bit mir
wieder einen Eintrag im Verzeichnis:

C:/Windows/System32/Drivers/[dateinmae].sys,Hidden driver file

Momentan heisst die Datei: aum21byj.SYS
ist aber nicht im "Windwos Explorer" zu sehen
(Alle optionen zum anzeigen von versteckten und system
dateien angeschaltet)

Allerdings anderert sich der Dateiname wohl auch staendig.
Laut Heise http://www.heise.de/security/artikel/58158
seien das ja schon Zeichen auf ein Rootkit.

Dummerweise weiss ich absolut nicht
um welches es sich handelt oder wie ich an Informationen
komme und wie ich es los werde :-(
"heisse" spricht von selber im Netz recherchieren, aber
unter dem Dateinamen finde ich natuerlich/leider nichts.
Das AVG Anti-RootKit scheint es nicht vollstaendig zu
erfassen und entfernen zu koennen...

Der RootkitRevealer sagt nichts wenn ich die Registry
vom Scannen auslasse und gibt mir Veraederungen in der
Registry an, die aber nicht von diesem [dateiname].sys
zu kommen scheinen, sondern Veraenderungen im laufenden
Betrieb und Gebrauch der Registry sein muessten...

Ich hoffe hier hat jemand ein paar Tips was ich, ausser
"platt" machen, machen kann.


Thomas
 

Lesen sie die antworten

#1 Andreas Viehrig
24/10/2007 - 19:37 | Warnen spam
Thomas Steinbach schrieb:

Hallo NG,

das AntiRootKit von AVG (Grisoft)
meldet mir folgendes:

C:/Windows/System32/Drivers/adakq7p1.SYS,Hidden driver file



Daemon Tools installiert? Das Teil benutzt Rootkit-Funktionalitàten, um
sich vor diversen (Spiele-)Progs zu verstecken, die was gegen virtuelle
Laufwerke haben.

Wenn Du die Daemon Tools mal deinstallierst, ist die Meldung dann weg? Was
sagen andere Rootkit-Scanner?

Andi

"Wie auch immer, ich nehme das Posting hier gerade zum Anlass, um über die
neue "Containment-Policy" zu informieren. Ich werde diese Postings in
Zukunft nach de.talk.liebesakt umleiten. Tatsàchlich ist das dort rein
chartatechnisch gesehen auch off-topic..." (Roman Racine, der "Saubermann")

Ähnliche fragen